Sur 91,000 attacks on AI infrastructure were documented in a synchronized attack on artificial intelligence deployment from October 2025 to January 2026. The security telemetry gathered from honeypot sensors worldwide validates the existence of two structured attacks targeting server-side request forgery vulnerabilities and probing large language model interfaces. The level of sophistication and organization of these attacks suggests that threat actors have prioritized AI deployment security as a key target.
Researchers tracking internet scanning activity noticed that attackers targeted exposed AI infrastructure, API integration, and model management interfaces. Unlike typical scanning attacks, AI infrastructure attacks were structured and optimized for data collection and potential exploitation.
Surge in AI Infrastructure Attacks Confirmed by Threat Intelligence Monitoring
Threat intelligence analysts have discovered over 91,000+ malicious sessions on distributed sensor networks, which is one of the most focused attacks on AI infrastructure to date. This information was gathered through a honeypot infrastructure designed to mimic vulnerable AI services and API endpoints.
Between October 2025 and early January 2026, malicious actors conducted targeted probing of AI infrastructure across geographically diverse regions. This data indicates that malicious actors are no longer probing AI attack surfaces but are instead actively exploiting them in reconnaissance and exploitation attacks. Two distinct campaigns have been identified based on this data:
- Une campagne d'attaque SSRF structurée ciblant les mécanismes de requêtes sortantes
- Une attaque de reconnaissance des points de terminaison LLM à grande échelle ciblant la compatibilité des API commerciales
Ces deux campagnes illustrent une nouvelle orientation vers l’exploitation systématique des vulnérabilités de sécurité du déploiement de l’IA..
Hébergement Web WordPress
À partir de 3,99 $/mois
The SSRF Campaign: Leveraging Model Pull and Webhook Integrations
La première vague d'attaques sur l'infrastructure de l'IA était centrée sur les vulnérabilités de falsification de requêtes côté serveur introduites dans les surfaces d'attaque du déploiement de l'IA.. SSRF permet à des acteurs malveillants de contraindre un serveur à effectuer des requêtes sortantes non autorisées, exploiter efficacement l’infrastructure compromise comme proxy pour la reconnaissance ou la validation des attaques de rappel.
La campagne d'attaque a ciblé deux principaux vecteurs d'attaque:
Ollama Model Pull Abuse
Les attaquants ont injecté des URL de registre malveillantes dans les déploiements d'Ollama, exploiter sa fonctionnalité d'extraction de modèle. En manipulant les emplacements des sources du modèle, les adversaires ont déclenché des requêtes HTTP sortantes vers une infrastructure contrôlée par l'attaquant.
Cette technique confirme que les attaques contre les infrastructures d'IA ciblent de plus en plus les mécanismes de la chaîne d'approvisionnement des modèles plutôt que uniquement les points de terminaison des API.. Parce que de nombreux opérateurs d'IA autorisent la récupération dynamique de modèles, une validation insuffisante des URL de registre crée un point d'exposition direct SSRF.
2. Twilio Webhook Manipulation
Les intégrations Twilio ont également été abusées en modifiant les paramètres MediaUrl dans les configurations de webhook SMS.. Cela a obligé les systèmes backend à lancer des requêtes sortantes vers des domaines malveillants..
Serveur VPS pas cher
À partir de 2,99 $/mois
La campagne SSRF a culminé pendant la période de Noël, générateur 1,688 séances dans un créneau de 48 heures. Analystes identifiés 62 adresses IP sources à travers 27 pays, indiquant fortement VPS-automatisation basée sur une infrastructure de botnet traditionnelle plutôt que sur une infrastructure de botnet traditionnelle.
A notable detail was the repeated use of ProjectDiscovery’s OAST callback infrastructure. OAST frameworks are typically used for security testing, but in this context, they were leveraged to validate successful SSRF callbacks at scale. This suggests that grey-hat operators or bug bounty participants may be running industrialized scanning operations.
Large-Scale LLM Endpoint Reconnaissance: 80,469 Sessions in 11 Jours
The second and more alarming campaign began on December 28, 2025, targeting exposed large language model endpoints. Over eleven days, two dedicated IP addresses orchestrated 80,469 sessions probing AI services for misconfigurations and proxy exposure.
Attackers tested compatibility across both OpenAI-style and Google Gemini API formats, systematically probing models including:
- GPT-4o
- Claude
- Llama
- DeepSeek
- Gemini
- Mistral
- Qwen
- Grok
Probes used innocuous queries such as “How many states are there in the United States?” to avoid triggering anomaly detection systems. This fingerprinting approach allowed attackers to identify responsive models without generating obvious malicious payload signatures.
Hébergement VPS Windows
Remote Access & Full Admin
The infrastructure behind this campaign links to IP addresses previously associated with CVE exploitation activity, totaling more than 4 million sensor hits across historical tracking datasets. The operational discipline suggests reconnaissance feeding into larger monetization or access-broker pipelines.
These findings confirm that AI infrastructure attacks now include systematic LLM endpoint reconnaissance as a core tactic. (Vérifier Hacked Website Repair)
Why is AI Deployment Security Now a Prime Target?
L'infrastructure d'IA présente une surface d'attaque particulièrement attrayante pour plusieurs raisons:
- Les services d'IA fonctionnent souvent avec des privilèges API élevés
- Les points de terminaison du modèle sont fréquemment exposés via des proxys inverses
- Les développeurs donnent la priorité aux fonctionnalités plutôt qu'aux contrôles de sortie réseau renforcés.
- L'extraction de modèles et les intégrations de webhooks étendent la connectivité sortante
Contrairement aux applications Web traditionnelles, Les déploiements d'IA combinent des passerelles API, registres de modèles, intégrations tierces, et demandes sortantes automatisées. Cette complexité en couches augmente le risque de mauvaise configuration.
À mesure que la sécurité du déploiement de l’IA évolue, les attaquants s’adaptent clairement plus rapidement que de nombreuses organisations ne peuvent mettre en œuvre des contrôles défensifs.
« GreyNoise observé sur 91,000 sessions d'attaque ciblant l'infrastructure d'IA entre octobre 2025 et janvier 2026, révélant des campagnes coordonnées de reconnaissance et d’exploitation SSRF. »_GreyNoise
Indicators That Your Environment May Be Targeted
Organizations operating AI infrastructure should monitor for the following signs of active exploitation:
- Unexpected outbound HTTP requests from model pull services
- DNS lookups toward OAST-related callback domains
- High-frequency probing of LLM endpoints from limited ASN clusters
- Repeated low-complexity API queries across multiple model families
- Rapid OpenAI-compatible and Gemini-format request switching
These behaviors strongly correlate with the AI infrastructure attacks observed between October 2025 et janvier 2026.
Defensive Measures to Mitigate AI Infrastructure Attacks
The wave of more than 91,000 AI infrastructure attacks highlights an urgent need for practical, layered defenses. Because the observed campaigns combined SSRF exploitation with systematic LLM endpoint reconnaissance, organizations must strengthen both outbound controls and API-level protections. AI deployment security can no longer focus solely on inbound filtering; outbound abuse has become a primary risk vector.
Below are focused defensive actions aligned with the tactics documented in these campaigns.
Enforce Strict Model Pull Restrictions
Unrestricted model pull functionality increases exposure to SSRF abuse. Organizations should limit external model registries using allowlists and disable dynamic model fetching in production environments whenever possible.
Treat model sources as part of the software supply chain. Restricting where AI systems can fetch models significantly reduces the attack surface exploited in recent AI infrastructure attacks.
Implement Egress Filtering
Because SSRF attacks rely on forced outbound callbacks, egress filtering is critical. Outbound HTTP and HTTPS traffic from AI services should be restricted to approved destinations only.
Blocking known callback validation domains at the DNS level and monitoring unusual outbound traffic patterns can immediately disrupt SSRF-based exploitation attempts.
Apply Intelligent Rate Limiting
The LLM reconnaissance campaign relied on high-volume but low-noise probing. Basic rate limiting may not detect this activity.
Organizations should apply per-IP and per-API key rate controls, while monitoring for repetitive low-complexity prompts across multiple model endpoints. Behavioral baselining is essential to detect reconnaissance without obvious malicious payloads.
Harden API Gateways and Reverse Proxies
AI deployments frequently expose model endpoints through reverse proxies. These gateways must enforce strict authentication and avoid revealing model metadata through verbose error responses.
Internal LLM services should never be directly internet-facing. Limiter l’exposition réduit la probabilité d’un dénombrement automatisé.
Monitor for Multi-Model Probing Patterns
La deuxième campagne a démontré des tests systématiques sur les formats d'API compatibles OpenAI et de style Gemini.. Les équipes de sécurité doivent alerter en cas de tentatives rapides de changement de modèle et de requêtes répétées entre familles..
De tels schémas sont de solides indicateurs d’une reconnaissance qui alimente des attaques plus larges sur les infrastructures d’IA..
Strategic Implications for the AI Ecosystem
Le 91,000+ Les attaques enregistrées contre les infrastructures d'IA démontrent un tournant dans la façon dont les acteurs de la menace perçoivent les systèmes d'intelligence artificielle.. Les services d'IA ne sont plus des cibles expérimentales; ils sont désormais intégrés aux flux de travail de reconnaissance professionnels.
La maturité opérationnelle de ces campagnes indique que les données de reconnaissance peuvent alimenter la récolte d'accréditations., Marchés de revente de clés API, ou opérations de mouvement latéral dans les environnements d'entreprise.
Organizations deploying LLM services (Check Colonelserver LLMVPS), model hosting platforms, or AI-integrated applications should treat AI infrastructure attacks as an ongoing, industrialized threat category rather than isolated scanning events.
Foire aux questions
What are AI infrastructure attacks?
AI infrastructure attacks refer to coordinated exploitation attempts targeting AI deployments, including SSRF abuse, exposed LLM endpoints, and misconfigured API integrations.
Why are LLM endpoints being targeted?
LLM endpoints often expose commercial AI APIs or internal models that can be abused for data access, API key theft, or unauthorized compute usage.
How does SSRF impact AI deployments?
SSRF allows attackers to force AI servers to initiate outbound connections, potentially exposing metadata services, internal APIs, or validating callback infrastructure.
Were commercial AI providers directly breached?
Current evidence indicates reconnaissance of exposed or misconfigured deployments rather than confirmed breaches of major AI providers.
What is the most effective immediate mitigation step?
Implementing strict egress filtering and rate limiting on AI endpoints provides the fastest reduction in exposure.